Недавно были официально подтверждены случаи кражи PIN-кодов из сердца любой платежной системы — модуля аппаратного шифрования HSM (Hardware Security Module).
Эксперты по банковской безопасности не раз предупреждали производителей, что теоретически существует способ перехвата PIN-кодов через модули HSM. И вот первый случай фактического использования этой потенциальной уязвимости обнаружен.
При наличии сообщника внутри банка преступники могут записывать PIN-коды как в зашифрованном, так и в открытом виде. Подобное может происходить из-за неспособности или нежелания администратора решить проблемы совместимости с унаследованными приложениями или с "непослушными" банкоматами за счет использования стандартных процедур и инструментов. Таким образом, на каком-то этапе обработки PIN-коды оказываются незашифрованными, а система контроля просто не замечает этого, поскольку далее они передаются снова закодированными.
Однако производители HSM-модулей заявляют, что их продукция поставляется со стандартными настройками, которые не допускают подобных атак. В то же время, установкой и настройкой таких модулей могут заниматься не всегда добропорядочные люди, так что система действительно уязвима.
